Dodatek ke zpracování údajů
Dodatek ke zpracování údajů
Tento Dodatek o zpracování údajů (DPA) a příslušné Přílohy k DPA se vztahují ke Zpracování osobních údajů společností IBM jménem ÚZSVM (Osobních údajů Zákazníka) za účelem poskytování služeb dohodnutých ve Smlouvě (Služby). Vzhledem k tomu, že se jedná o Smlouvu mezi IBM a SPCSS, jakožto zpracovateli osobních údajů Zákazníka, zatímco SPCSS je v přímém smluvním vztahu s ÚZSVM, má se za to, že v ustanoveních tohoto DPA a jeho příloh, u kterých to vyplývá z logiky věci, nahrazuje v právech a povinnostech zpracovatel SPCSS správce ÚZSVM. Přílohy k DPA pro jednotlivé Služby jsou uvedeny v příloze k tomuto dodatku. Tento DPA podléhá podmínkám Smlouvy (pojmy s počátečními velkými písmeny, které zde nejsou definovány, mají význam uvedený v Obecném nařízení o ochraně osobních údajů 2016/679 (General Data Protection Regulation, GDPR)). V případě rozporu bude mít Příloha k DPA přednost před DPA, který má přednost před Smlouvou, s výjimkou situací výslovně stanovených ve Smlouvě a označujících relevantní Oddíl DPA, před nímž má přednost.
1. Zpracování
1.1 ÚZSVM (a) je Správcem Osobních údajů ÚZSVM nebo (b) obdržel instrukce a oprávnění příslušných Správců, aby vyjádřil souhlas se Zpracováním osobních údajů ÚZSVM společností IBM, jak je stanoveno v tomto DPA. ÚZSVM jmenuje společnost Zpracovatelem, který bude Zpracovávat osobní údaje ÚZSVM. Pokud existují další Správci, ÚZSVM je identifikuje a informuje společnost IBM, o existenci těchto dalších Správců ještě před poskytnutím jejich Osobních údajů, jak je stanoveno v Příloze k DPA.
1.2 Seznam kategorií Subjektů údajů, typů Osobních údajů ÚZSVM, Zvláštních kategorií osobních údajů a činností při zpracování je uveden v příslušné Příloze k DPA pro danou Službu. Maximální doba trvání zpracování a doba uchování osobních údajů je totožná s dobou platnosti Smlouvy o službě. Po uplynutí této lhůty budou SPCSS předány bez zbytečného odkladu zálohy na zálohovacích páskách. Povahou, účelem a předmětem Zpracování je poskytování Služby, jak je popsáno ve Smlouvě.
1.3 Společnost IBM bude Zpracovávat Osobní údaje ÚZSVM podle písemných pokynů SPCSS. Pokud je společnost IBM přesvědčena, že tyto pokyny porušují GDPR nebo jiná platná nařízení na ochranu osobních údajů, společnost IBM informuje o této skutečnosti bez zbytečného prodlení ÚZSVM a může pozastavit poskytování služeb, dokud ÚZSVM nezmění nebo písemnou formou nepotvrdí zákonnost těchto pokynů. Pokud společnost IBM oznámí SPCSS, že pokyny není možné uskutečnit, nebo pokud SPCSS informuje společnost IBM, že neakceptuje nabídku pokynů připravených v souladu s Oddílem 10.2, SPCSS může ukončit předmětnou Službu podáním písemné výpovědi společnosti IBM do jednoho měsíce po oznámení. Společnost IBM refunduje poměrnou část veškerých předplacených poplatků za období po tomto datu ukončení.
1.4 ÚZSVM slouží jako jediné kontaktní místo pro IBM. Protože Správci mohou mít ve vztahu ke společnosti IBM určitá přímá práva, Zákazník se zavazuje uplatňovat všechna tato práva jejich jménem a získat veškerá potřebná oprávnění od ostatních Správců. Společnost IBM bude zproštěna své povinnosti informovat nebo uvědomit jiného Správce, pokud takové informace nebo oznámení poskytne ÚZSVM. Podobně bude i společnost IBM sloužit jako jediné kontaktní místo pro ÚZSVM ve vztahu k jeho povinnostem Zpracovatele podle tohoto DPA.
1.5 Společnost IBM bude ve vztahu ke Službám dodržovat veškeré právní předpisy a nařízení v EHP (Právní předpisy na ochranu osobních údajů) platné pro Zpracovatele. Společnost IBM neodpovídá za zjištění zákonných požadavků, které jsou platné pro podnikání ÚZSVM, ani za zjištění, zda poskytování Služeb ze strany společnosti IBM splňuje požadavky těchto právních předpisů. Ve vztahu mezi stranami je za soulad Zpracování Osobních údajů ÚZSVM se zákonem odpovědný ÚZSVM. ÚZSVM nebude využívat Služby ve spojení s Osobními údaji, pokud by tak došlo k porušení příslušných Právních předpisů na ochranu osobních údajů.
2. Technická a organizační opatření
2.1 Společnost IBM implementuje a bude udržovat technická a organizační opatření stanovená v příslušné Příloze k DPA (TOM), aby byla zajištěna odpovídající úroveň zabezpečení vzhledem k rizikům a rozsahu odpovědnosti společnosti IBM. Technická a organizační opatření (TOM) podléhají technickému a jinému vývoji, proto si společnost IBM vyhrazuje právo upravit tato Technická a organizační opatření, za předpokladu, že tato úprava nijak nenaruší funkčnost a zabezpečení Služeb.
3. Práva a požadavky subjektů údajů
3.1 V rozsahu povoleném ze zákona bude společnost IBM informovat ÚZSVM o požadavcích Subjektů údajů vyplývajících z výkonu jejich práv Subjektů údajů (např. na opravu, výmaz a blokování údajů), adresovaných přímo společnosti IBM ve vztahu k Osobním údajům zákazníka. ÚZSVM odpovídá za reakce na tyto požadavky Subjektů údajů. Společnost IBM poskytne ÚZSVM přiměřenou součinnost při reakcích na tyto požadavky Subjektů údajů v souladu s Oddílem 10.2.
3.2 Pokud Subjekt údajů vznese nárok přímo vůči společnosti IBM kvůli porušení svých práv z důvodů na straně ÚZSVM jako Správce, pak ÚZSVM uhradí společnosti IBM veškeré náklady, poplatky, náhrady škody, výdaje nebo ztráty vyplývající z tohoto nároku, a to za předpokladu, že společnost IBM informovala ÚZSVM o tomto nároku a dala ÚZSVM příležitost spolupracovat se společností IBM při obraně před tímto nárokem a na jeho narovnání. To samé platí ve vztahu k ÚZSVM, pokud dojde k porušení práv Subjektu údajů z důvodu na straně IBM jako Zpracovatele v rámci GDPR.
4. Požadavky třetích osob a důvěrnost
4.1 Společnost IBM neposkytne Osobní údaje ÚZSVM žádné třetí osobě, pokud ji k tomu ÚZSVM nezmocní nebo to nebude vyžadovat zákon. Pokud si vláda nebo Dozorový orgán vyžádají přístup k Osobním údajům zákazníka, společnost IBM informuje ÚZSVM o této skutečnosti ještě před poskytnutím těchto údajů, pokud to není zákonem zakázáno.
4.2 Společnost IBM vyžaduje, aby se všichni její pracovníci, kteří jsou oprávněni Zpracovávat Osobní údaje ÚZSVM, zavázali k zachování důvěrnosti a aby nezpracovávali tyto Osobní údaje ÚZSVM k žádným jiným účelům, s výjimkou situace, kdy si to vyžádá ÚZSVM nebo to bude požadováno platným zákonem.
5. Audit
5.1 Společnost IBM umožní a usnadní audity, včetně kontrol, prováděné ÚZSVM nebo jiným auditorem, kterého ÚZSVM pověří, u Společností IBM, které zpracovávají Osobní údaje ÚZSVM, v souladu s následujícími postupy:
a. Na základě písemné žádosti ÚZSVM společnost IBM poskytne ÚZSVM nebo jím pověřenému auditorovi aktuální certifikace anebo souhrnné sestavy auditů, které nechala společnost IBM provést za účelem pravidelného testování, posuzování a vyhodnocování efektivity Technických a organizačních opatření (TOM).
b. Společnost IBM poskytne ÚZSVM přiměřenou součinnost v podobě poskytnutí dostupných dalších informací týkajících se Technických a organizačních opatření, aby ÚZSVM těmto opatřením lépe porozuměl.
c. Pokud ÚZSVM bude potřebovat další informace, aby mohl splnit vlastní povinnosti (nebo povinnosti ostatních Správců) ve vztahu k auditu nebo požadavek kompetentního Dozorového orgánu, ÚZSVM bude písemně informovat společnost IBM, aby mu mohla společnost IBM tyto informace poskytnout nebo mu k nim umožnit přístup.
d. Pokud nebude možné splnit povinnost auditu nařízenou platnými právními předpisy jiným způsobem, mohou subjekty, jimž to nařizuje zákon (např. vládní regulační agentura vykonávající dohled nad provozem ÚZSVM), ÚZSVM nebo jím pověřený auditor provést fyzickou návštěvu v prostorách, kde je poskytována Služba, a sice během běžné pracovní doby a pouze takovým způsobem, který bude co nejméně narušovat provoz IBM, s tím, že načasování této návštěvy bude koordinováno a bude v souladu veškerými postupy auditu popsanými v Příloze k DPA, aby se snížilo riziko pro ostatní Zákazníky IBM.
5.2 Každá ze stran ponese své vlastní náklady ve vztahu k odstavcům Oddílu 5.1.
6. Vrácení nebo odstranění Osobních údajů ÚZSVM
6.1 Po ukončení Smlouvy nebo po uplynutí její platnosti společnost IBM buď odstraní, nebo vrátí Osobní údaje ÚZSVM do jeho vlastnictví, jak je uvedeno v příslušné Příloze k DPA, pokud není platnými právními předpisy upraveno jinak.
7. Dílčí zpracovatelé
7.1 Společnost IBM může ke Zpracování osobních údajů ÚZSVM zmocnit další smluvní partnery (Dílčí zpracovatelé). Jednotliví Dílčí zpracovatelé musí být předem schváleni společností ÚZSVM před započetím Zpracování osobních údajů těmito Dílčími zpracovateli. Společnost IBM o veškerých změnách Dílčích zpracovatelů informuje písemně a do 30 dnů od oznámení musí ÚZSVM vyslovit svůj souhlas či nesouhlas s přidáním Dílčího zpracovatele. Odmítnutí Dílčího zpracovatele společností ÚZSVM může nastat pouze z oprávněného důvodu, že by toto přidání mělo za následek porušení platných právních předpisů, které na ÚZSVM dopadají. Odmítnutí musí být provedeno písemně a bude zahrnovat důvody pro odmítnutí a možnosti, jak případně danou situaci řešit. Společnost IBM bude od všech schválených Dílčích zpracovatelů před vlastním Zpracováním jakýchkoli Osobních údajů ÚZSVM těmito Dílčími zpracovateli vyžadovat v zásadě podobné povinnosti týkající se ochrany osobních údajů, jako jsou stanoveny v DPA. Seznam aktuálních Dílčích zpracovatelů je uveden v příslušné Příloze k DPA.
7.2 Pokud ÚZSVM odmítne přidání některého z Dílčích zpracovatelů a společnost IBM nebude schopna přiměřeným způsobem tomuto odmítnutí ÚZSVM vyhovět, informuje o této skutečnosti ÚZSVM. ÚZSVM může ukončit předmětné Služby podáním písemné výpovědi společnosti IBM do jednoho měsíce od oznámení společnosti IBM. Společnost IBM refunduje poměrnou část veškerých předplacených poplatků za období po tomto datu ukončení.
8. Přeshraniční zpracování údajů v rámci EU
8.1 Vyjádřením souhlasu s tímto DPA ÚZSVM uzavírá Standardní smluvní doložky EU, jak je uvedeno v příslušné Příloze k DPA, s Dílčími zpracovateli usazenými buď mimo Evropský hospodářský prostor, nebo v zemích, jejichž úroveň
ochrany osobních údajů považuje Evropská komise za dostatečnou (Dovozci údajů). Dovozci údajů, kteří jsou Společnostmi IBM, jsou tzv. "Dovozci údajů IBM".
8.2 Pokud ÚZSVM informuje společnost IBM o jiném Správci a společnost IBM proti tomu do 30 dnů po tomto oznámení ÚZSVM nevznese námitku, ÚZSVM vyjádří jménem těchto ostatních Správců souhlas, nebo pokud nemůže vyjádřit souhlas, obstará si jej od těchto ostatních Správců, a ti se stanou dalšími vývozci údajů ve smyslu Standardních smluvních doložek EU uzavřených mezi Dovozci údajů IBM a ÚZSVM. Společnost IBM zajistila přijetí souhlasu těchto ostatních Správců ze strany Dovozců údajů IBM. ÚZSVM poskytne souhlas a v relevantních případech zajistí souhlas ostatních Správců s tím, že Standardní smluvní doložky EU, včetně veškerých nároků, které z nich vyplývají, podléhají podmínkám stanoveným v této Smlouvě, včetně vyloučení a omezení odpovědnosti. V případě rozporu mají přednost Standardní smluvní doložky EU.
8.3 Pokud společnost IBM zapojí v souladu s Oddílem 7 nového Dílčího zpracovatele, který je Dovozcem údajů IBM, společnost IBM si obstará souhlas tohoto nového Dovozce údajů IBM se Standardními smluvními doložkami EU a ÚZSVM svým jménem anebo jménem ostatních Správců, pokud to lze uplatnit, předem odsouhlasí, že tento Dovozce údajů IBM může být dalším dovozcem údajů v souladu se Standardními smluvními doložkami EU. Pokud ÚZSVM nemůže vyjádřit souhlas za Správce, zajistí ÚZSVM souhlas daného Správce. Pokud nový Dovozce údajů není Společností IBM (Dovozce údajů, který je třetí osobou), dle uvážení společnosti IBM, nebo (ii) Dovozce údajů IBM uzavře s tímto Dovozcem údajů, který je třetí osobou, písemnou smlouvu, která bude zavazovat Dovozce údajů, který je třetí osobou, stejnými povinnostmi, jaké jsou kladeny na Dovozce údajů IBM podle Standardních smluvních doložek EU.
9. Porušení ochrany osobních údajů
9.1 Pokud společnost IBM zjistí, že došlo k Porušení ochrany osobních údajů v souvislosti s poskytováním Služeb, informuje o tom ÚZSVM. Společnost IBM vyšetří případ Porušení ochrany osobních údajů, pokud k němu došlo v infrastruktuře IBM nebo v jiné oblasti, za kterou odpovídá IBM. V případě závěru, že za dané porušení IBM neodpovídá poskytne ÚZSVM podporu, jak je stanoveno v Oddílu 10.
10. Podpora
10.1 Společnost IBM bude v maximálním možném rozsahu pomáhat ÚZSVM technickými a organizačními opatřeními za účelem splnění závazků ÚZSVM a ve věci práv Subjektů údajů a při zajišťování souladu se závazky ÚZSVM a vztahujícími se k zabezpečení Zpracování, oznámení o Porušení ochrany osobních údajů a k Hodnocení dopadu na ochranu osobních údajů, přičemž společnost IBM bude brát v úvahu všechny informace, které má k dispozici.
10.2 ÚZSVM požádá o jakoukoli podporu uvedenou v tomto DPA písemnou formou. Poskytnutí této podpory, nebo dalších pokynů souvisejících s DPA, která budou nad rámec stávající Smlouvy se bude řídit příslušným ustanovením o Řízení změn, Drobných úpravách, nebo Službě na vyžádání v této Smlouvě.